分布式DDoS防御系统的攻击数据整合方法、整合装置和电子设备与流程

本申请涉及网络安全领域，尤其涉及用于分布式ddos防御系统的攻击数据整合方法、整合装置和电子设备。

背景技术：

随着计算机网络技术的发展，网络安全所面临的挑战也日益严峻。在众多网络攻击中，ddos网络攻击是目前最强大、最难防御的攻击之一。ddos攻击(distributeddenialofservice,分布式拒绝服务)指的是攻击者利用“肉鸡”对目标网站在较短的时间内发起大量请求，大规模消耗目标网站的主机资源，让它无法正常服务。

随着ddos攻击越来越频繁，单次攻击峰值越来越高，单台防御设备已难以满足防御负载需求。为了应付这一局面，常用的应对方式为：将多台防御设备集群化部署，以组成分布式ddos防御系统，并且通过负载均衡的策略将针对同一高防ip的攻击分散于各台防御设备上。通过这样的方式，降低单台防御设备的防御压力，提高防御系统总的防御能力。

然而，虽然分布式防御系统降低了单台防御设备的防御负载，但也给攻击情况的监控带来了新的困难，也出现了许多新的问题。例如，攻击次数虚假增多，攻击总流量统计失真，针对同次攻击重复预警等。

因此，对于一种能够对分布式ddos防御系统的攻击数据的进行整合以实现对分布式防御系统的攻击情况进行监控的方法和系统的需求是迫切的。

申请内容

本申请的主要目的在于提供一种用于分布式ddos防御系统的攻击数据整合方法、整合装置和电子设备，其中，所述攻击数据整合方法能够对所述分布式防御系统内各台防御设备的攻击数据进行汇总，以将属于同一次攻击的攻击数据进行整合，以利于分布式防御系统的攻击情况进行全局监控。

本申请的另一目的在于提供一种用于分布式ddos防御系统的攻击数据整合方法、整合装置和电子设备，其中，所述攻击数据整合方法能够将同属于同一次攻击的各台防御设备的攻击数据进行整合，从而运维人员能够准确地评估网络攻击的严重程度。

本申请的另一目的在于提供一种用于分布式ddos防御系统的攻击数据整合方法、整合装置和电子设备，其中，所述攻击数据整合方法能够将同属于同一次攻击的各台防御设备的攻击数据进行整合，以有效地避免同一次攻击给客户重复推送预警，对用户造成不必要的干扰，提升用户体验。

本申请的另一目的在于提供一种用于分布式ddos防御系统的攻击数据整合方法、整合装置和电子设备，其中，基于所述攻击数据整合方法所获得的攻击数据整合结果为向客户展示攻击记录提供了真实而准确的原材料，以确保用户能够清晰而直观地了解所述分布式防御系统为其提供的防御服务。

通过下面的描述，本申请的其它优势和特征将会变得显而易见，并可以通过权利要求书中特别指出的手段和组合得到实现。

为实现上述至少一目的或优势，本申请提供一种用于分布式ddos防御系统的攻击数据整合方法，其包括：

获取所述防御系统内第一防御设备所产生的第一攻击记录；

获取所述防御系统内第二防御设备所产生的第二攻击记录，其中，所述第一防御设备和所述第二防御设备同时处于响应于被攻击的状态；

确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击；以及

响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录。

在本申请一实施例中，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击，包括：设定攻击记录中被攻击ip地址和攻击类型为关键字；确定所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型数据是否一致；响应于所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型一致，确定所述第一攻击记录和所述第二攻击记录中的攻击时间是否存在交叉；以及，响应于所述第一攻击记录和所述第二攻击记录中的攻击时间存在交叉，基于所述第一攻击记录和所述第二攻击记录的攻击交叉时间，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击。

在本申请一实施例中，确定所述第一攻击记录的攻击时间和所述第二攻击记录中的攻击时间是否存在交叉，包括：确定所述第一攻击记录中攻击起始时间是否小于所述第二攻击记录中的攻击结束时间；确定所述第一攻击记录中的攻击结束时间是否大于所述第二攻击记录的攻击起始时间，以及，响应于所述第一攻击记录中攻击起始时间小于所述第二攻击记录中的攻击结束时间，以及，所述第一攻击记录中的攻击结束时间大于所述第二攻击记录的攻击起始时间，确定所述第一攻击记录的攻击时间和所述第二攻击记录中的攻击时间存在交叉。

在本申请一实施例中，基于所述第一攻击记录和所述第二攻击记录的攻击交叉时间，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击，包括：获得所述攻击交叉时间占据第一攻击时长的第一占比，其中，所述第一攻击时长为所述第一攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；获得所述攻击交叉时间占据第二攻击时长的第二占比，其中，所述第二攻击时长为所述第二攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；以及，响应于第一占比与第二占比之间的较大者不小于预设阈值，确定所述第一攻击记录和所述第二攻击记录属于同一次攻击。。

在本申请一实施例中，响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录，包括如下步骤至少之一：将所述第一攻击记录和所述第二攻击记录中的攻击流量进行相加，以获得该同一次攻击的总流量；将所述第一攻击记录和所述第二攻击记录中的报文数进行相加，以获得该同一次攻击的总报文数；以及，基于所述第一攻击记录和所述第二攻击记录中的攻击起始时间和攻击结束时间，获得该同一次攻击的总持续时间。

在本申请一实施例中，获取所述防御系统内第一防御设备所产生的第一攻击记录，包括：获得所述第一防御设备在持续响应于被攻击状态时所产生的一系列第一攻击数据系统日志；以及，整合所述第一攻击数据系统日志，以获得所述第一攻击记录。

在本申请一实施例中，获取所述防御系统内第一防御设备所产生的第一攻击记录，包括：在所述第一防御设备持续响应于被攻击状态下，获得所述第二防御设备在持续响应于被攻击状态时所产生的一系列第二攻击数据系统日志；以及,整合所述第二攻击数据系统日志，以获得所述第二攻击记录。

根据本申请的另一方面，还提供一种用于分布式ddos防御系统的攻击数据整合装置，其包括：

攻击记录获取单元，用于，获取所述防御系统内第一防御设备所产生的第一攻击记录，以及，获取所述防御系统内第二防御设备所产生的第二攻击记录，其中，所述第一防御设备和所述第二防御设备同时处于响应于被攻击的状态；

确定单元，用于，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击；以及

整合单元，用于，响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录。

在本申请一实施例中，所述确定单元，还用于：设定攻击记录中被攻击ip地址和攻击类型为关键字；确定所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型数据是否一致；响应于所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型一致，确定所述第一攻击记录和所述第二攻击记录中的攻击时间是否存在交叉；以及，响应于所述第一攻击记录和所述第二攻击记录中的攻击时间存在交叉，基于所述第一攻击记录和所述第二攻击记录的攻击交叉时间，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击。

在本申请一实施例中，所述确定单元，还用于：确定所述第一攻击记录中攻击起始时间是否小于所述第二攻击记录中的攻击结束时间；确定所述第一攻击记录中的攻击结束时间是否大于所述第二攻击记录的攻击起始时间，以及，响应于所述第一攻击记录中攻击起始时间小于所述第二攻击记录中的攻击结束时间，以及，所述第一攻击记录中的攻击结束时间大于所述第二攻击记录的攻击起始时间，确定所述第一攻击记录的攻击时间和所述第二攻击记录中的攻击时间存在交叉。

在本申请一实施例中，所述确定单元，还用于：获得所述攻击交叉时间占据第一攻击时长的第一占比，其中，所述第一攻击时长为所述第一攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；获得所述攻击交叉时间占据第二攻击时长的第二占比，其中，所述第二攻击时长为所述第二攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；以及，响应于第一占比与第二占比之间的较大者不小于预设阈值，确定所述第一攻击记录和所述第二攻击记录属于同一次攻击。

在本申请一实施例中，所述整合单元，用于：执行如下操作至少之一：将所述第一攻击记录和所述第二攻击记录中的攻击流量进行相加，以获得该同一次攻击的总流量；将所述第一攻击记录和所述第二攻击记录中的报文数进行相加，以获得该同一次攻击的总报文数；以及，基于所述第一攻击记录和所述第二攻击记录中的攻击起始时间和攻击结束时间，获得该同一次攻击的总持续时间。

在本申请一实施例中，所述获取单元，用于：获得所述第一防御设备在持续响应于被攻击状态时所产生的一系列第一攻击数据系统日志；以及，整合所述第一攻击数据系统日志，以获得所述第一攻击记录。

在本申请一实施例中，所述获取单元，还用于：在所述第一防御设备持续响应于被攻击状态下，获得所述第二防御设备在持续响应于被攻击状态时所产生的一系列第二攻击数据系统日志；以及，整合所述第二攻击数据系统日志，以获得所述第二攻击记录

根据本申请的另一方面，还提供一种电子设备，其包括处理器和存储器，其中，在所述存储器中存储有计算机程序指令，所述计算机程序指令在被所述处理器运行时使得所述处理器执行如上所述的攻击数据整合方法。

根据本申请的另一方面，还提供一种计算机可读存储介质，其上存储有计算机程序指令，当所述计算机程序指令被计算装置执行时，可操作来执行如上所述的攻击数据整合方法。

通过对随后的描述和附图的理解，本申请进一步的目的和优势将得以充分体现。

本申请的这些和其它目的、特点和优势，通过下述的详细说明，附图和权利要求得以充分体现。

附图说明

图1图示了根据本申请较佳实施例的用于分布式ddos防御系统的攻击数据整合方法的流程图。

图2图示了根据本申请较佳实施例的所述攻击数据整合方法中确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击的流程图。

图3图示了本申请较佳实施例的用于分布式ddos防御系统的攻击数据整合方法的一具体应用的示意图。

图4图示了根据本申请较佳实施例的用于分布式ddos防御系统的攻击数据整合装置的框图。

图5图示了根据本申请实施例的电子设备的框图。

具体实施方式

以下描述用于揭露本申请以使本领域技术人员能够实现本申请。以下描述中的优选实施例只作为举例，本领域技术人员可以想到其他显而易见的变型。在以下描述中界定的本申请的基本原理可以应用于其他实施方案、变形方案、改进方案、等同方案以及没有背离本申请的精神和范围的其他技术方案。

本领域技术人员应理解的是，在本申请的揭露中，术语“纵向”、“横向”、“上”、“下”、“前”、“后”、“左”、“右”、“竖直”、“水平”、“顶”、“底”“内”、“外”等指示的方位或位置关系是基于附图所示的方位或位置关系，其仅是为了便于描述本申请和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作，因此上述术语不能理解为对本申请的限制。

可以理解的是，术语“一”应理解为“至少一”或“一个或多个”，即在一个实施例中，一个元件的数量可以为一个，而在另外的实施例中，该元件的数量可以为多个，术语“一”不能理解为对数量的限制。

申请概述

如上所述，随着ddos攻击越来越频繁，单次攻击峰值越来越高，单台防御设备已难以满足防御负载需求。为此，常用的策略是将多台防御设备以集群化的方式进行部署，以组成分布式ddos防御系统。在分布式防御系统中，各台防御设备以负载均衡的策略将针对同一高防ip的攻击进行分散。然而，虽然分布式防御系统能够降低了单台防御设备的防御负载，但也给攻击情况的监控带来了新的挑战，同时出现了许多新的问题。

本领域的技术人员应知晓，对防御系统的攻击情况做全局监控具有重要意义。例如，根据攻击类型，次数，攻击流量大小等数据的分布情况调整防御策略；为用户提供受攻击情况的分析报表，以使得用户能够了解到其网站所受的攻击情况以及收费的依据；以及，根据攻击流量大小，攻击次数等数据，设置实时的攻击提醒以帮助运营维护人员进行监控等。

然而，虽然防御方式经历了从单台设备防御至多台防御设备集群化防御的演变，但是，配套的攻击情况监控策略却仍停留在仅针对于单台设备的攻击数据进行统计的阶段。换言之，只能查看所述分布式防御系统内单台防御设备的攻击记录。这样的监控策略在实际应用中具有诸多缺陷。

首先，在分布式防御系统中，同一次攻击可能被分散到不同防御设备上，即，每台设备都生成了此次攻击的攻击记录。并且，每台防御设备只记录本机受攻击的情况，不同设备之间的攻击记录相互独立。如果按照现有的攻击数据统计模式来进行攻击次数统计(分别统计各防御设备的攻击次数，并进行叠加，)将造成攻击次数虚假增多。

其次，单次攻击的总流量等攻击数据被分散后将会低于真实值。一方面，运维人员容易低估本次攻击的严重程度，导致对于攻击的警惕性降低；另一方面，同一次攻击可能会被重复推送给用户，给用户造成不必要的困扰。

还有，这样的攻击数据统计方式给用户展示攻击记录也不友好。例如，一次100g的攻击，分流到两台防御设备上进行防御，每台设备防御了50g，那么用户看到的是50g的攻击记录，然而，收费却要收100g的费用，会引起用户的质疑。

针对上述技术问题，本申请的基本构思是首先获得所述分布式防御系统内各台防御设备上报的离散攻击记录；然后，对各台防御设备所提供的攻击记录进行判定以确定各台防御设备所提供的攻击记录是否属于同一次攻击；进而，将同属于同一次攻击的攻击记录进行整合。

基于此，本申请提出了一种用于分布式ddos防御系统的攻击数据整合方法，其首先获取所述防御系统内第一防御设备所产生的第一攻击记录，以及，获取所述防御系统内第二防御设备所产生的第二攻击记录，其中，所述第一防御设备和所述第二防御设备同时处于响应于被攻击的状态；进而，通过特定方式确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击；最终，响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录。这样，克服了分布式防御系统只能查看单台防御设备的攻击记录的缺陷，并且，可直接了解其高防ip受攻击的全局情况，以便于做更准确的判断，以及，调整最优的防御策略。

在介绍本申请的基本原理之后，下面将参考附图来具体介绍本申请的各种非限制性实施例。

示例性标定方法

图1图示了根据本申请较佳实施例的用于分布式ddos防御系统的攻击数据整合方法的流程图。如图1所示，根据本申请该较佳实施例的用于分布式ddos分布式防御系统的攻击数据整合方法包括：s110，获取所述防御系统内第一防御设备所产生的第一攻击记录；s120，获取所述防御系统内第二防御设备所产生的第二攻击记录，其中，所述第一防御设备和所述第二防御设备同时处于响应于被攻击的状态；s130，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击；以及，s140，响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录。

为了便于说明和理解，在本申请的该较佳实施例中，以所述分布式防御系统包括两台防御设备为示例，说明本申请所揭露的用于分布式防御系统的攻击数据整合方法。即，在本申请该较佳实施例中，所述分布式防御系统包括第一防御设备和第二防御设备，两者集群化地部署，并采用负载均衡的策略分散地承担针对同一高防ip的攻击。特别地，所述第一防御设备和第二防御设备可配置为atic防御设备(abnormaltrafficinspection&controlsystem)，当然，其也可以是其他类型的ddos防御设备，对此，并不为本申请所局限。

在步骤s110和步骤s120中，获取所述防御系统内第一防御设备所产生的第一攻击记录，以及，获取所述防御系统内第二防御设备所产生的第二攻击记录，其中，所述第一防御设备和所述第二防御设备同时处于响应于被攻击的状态。换言之，分别获得所述分布式防御系统内各防御设备的离散攻击记录。

如前所述，当所述分布式防御系统受到攻击时(尤其是当攻击流量超过某一上限时)，各防御设备可能针对该攻击采用负载均衡的策略进行分散防御。此时，所述分布式防御系统内的各防御设备同时处于“响应于被攻击”的状态，分别对本次攻击进行防御。“响应于被攻击”的状态，各防御设备将分别产生攻击数据系统日志(systemlog，后续简写为syslog)，其中，所述攻击数据系统日志至少包括如下属性字段：日志时间、被攻击ip，攻击起始时间，攻击结束时间，攻击类型，攻击流量和报文数等。

在网络安全防御中，如果防御设备持续处于“响应于被攻击”的状态，则攻击数据系统日志将以一定的频率(例如，10ms)进行更新。换言之，在进行持续防御的过程中，防御设备将产生一系列攻击数据系统日志，结合这一系列攻击数据日志便能够获得对应防御设备的攻击记录。

以所述第一防御设备持续响应于被攻击1分钟，并且攻击数据系统日志更新的频率为10ms为例，这样，在此过程中，所述第一防御设备将产生6份攻击数据系统日志。进而，利用计算机自动汇总整合这6份攻击数据系统日志，便能够获得所述第一防御设备的第一攻击记录。

对应于攻击数据系统日志的文件属性，所述第一攻击记录至少包括如下字段属性：攻击记录编号，攻击起始时间，攻击结束时间，攻击起始时间，攻击结束时间，攻击类型，攻击流量和报文数等。

值得一提的是，对于分布式ddos防御系统而言，在实际网络安全防御的过程中，即便所述第一防御设备和所述第二防御设备同处于“响应于被攻击”的状态，其所防御的攻击也可能完全分属于不同的攻击。因此，在后续需进一步地对所述第一防御设备和所述第二防御设备在同处于“响应于被攻击”状态下所产生的第一攻击记录和第二攻击记录进行判定，以确定两者是否同属于同一次攻击。即，执行步骤s130：确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击。

在步骤s130中，通过特定的方法确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击。更具体地，在本申请该实施例中，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击的过程，包括如下步骤。

首先，将攻击记录中被攻击ip地址和攻击类型设备为关键字。然后，通过所述第一攻击记录和所述第二攻击记录中的被攻击ip地址和攻击类型，初步确认所述第一攻击记录和所述第二攻击记录是否为针对于同一被攻击ip的同一类型的攻击。

进而，在确定所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型一致的前提下，判定所述第一攻击记录和所述第二攻击记录中的攻击时间是否存在交叉。即，所述第一防御设备和所述第二防御设备的防御时间之间是否有时间上的重叠。例如，所述第一攻击记录中的攻击起始时间为早上10:30:15，其攻击结束时间为10:31:00；所述第二攻击记录中的攻击起始时间为早上10:29:54，其攻击结束时间为10:31:05，此时，所述第一攻击记录和所述第二攻击记录中的攻击时间存在交叉。

在具体实施中，可通过如下方式确定所述第一攻击记录和所述第二攻击记录中的攻击时间是否存在交叉。首先，确定所述第一攻击记录中攻击起始时间是否小于所述第二攻击记录中的攻击结束时间；进而，确定所述第一攻击记录中的攻击结束时间是否大于所述第二攻击记录的攻击起始时间；进而，响应于所述第一攻击记录中攻击起始时间小于所述第二攻击记录中的攻击结束时间，以及，所述第一攻击记录中的攻击结束时间大于所述第二攻击记录的攻击起始时间，确定所述第一攻击记录的攻击时间和所述第二攻击记录中的攻击时间存在交叉。该判定过程用公式可表示为ts1≤te2以及te1≥ts2，其中，ts1表示所述第一攻击记录中的攻击起始时间，te1表示所述第一攻击记录中的攻击结束时间，ts2表示所述第二攻击记录中的攻击起始时间，te2表示所述第二攻击记录中的攻击结束时间。

进一步地，当所述第一攻击记录和所述第二攻击记录中的攻击时间存在交叉时，可直接判定所述第一攻击记录和所述第二攻击记录同属于同一次攻击。当然，这样的判定策略有点简单粗暴，会影响后续的攻击数据整合结果。

为了优化后续的攻击数据整合结果，在本申请的该较佳实施例中，可采用其他判定策略对所述第一攻击记录和所述第二攻击记录是否同属于同一次攻击进行判定。具体地，首先，获得所述攻击交叉时间占据第一攻击时长的第一占比，其中，所述第一攻击时长为所述第一攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；其次，获得所述攻击交叉时间占据第二攻击时长的第二占比，其中，所述第二攻击时长为所述第二攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；进而，判定所述第一占比和所述第二占比之间的较大者是否不小于某一预设阈值，并响应于第一占比与第二占比之间的较大者不小于该预设阈值，确定所述第一攻击记录和所述第二攻击记录属于同一次攻击。

值得一提的是，在具体实施中，该预设阈值可被设置为一个动态变化的阈值，其取值与近期总的攻击情况有关。更明确地，如果近期短时间快速攻击越多，该预设阈值的取值越小，最低为5％；当然，如果近期短时间快速攻击越少，该预设阈值的取值越大，最高为20％。这里，本领域的技术人员应容易理解，该预设阈值的最低值和最高值，可基于实际网络防御的情况进行自适应调整，对此，并不为本申请所局限。

同样值得一提的是，在本申请另外的实施例中，在求得所述第一占比和第二占比之后，可采用其他判定策略来进行判定，例如，判定所述第一占比和所述第二占比之间的较小者是否不低于某一预设阈值。对此，同样并不为本申请所局限。

图2图示了根据本申请较佳实施例的所述攻击数据整合方法中确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击的流程图。如图2所示，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击，包括步骤：s210，设定攻击记录中被攻击ip地址和攻击类型为关键字；s220，确定所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型数据是否一致；s230，响应于所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型一致，确定所述第一攻击记录和所述第二攻击记录中的攻击时间是否存在交叉；s240响应于所述第一攻击记录和所述第二攻击记录中的攻击时间存在交叉，基于所述第一攻击记录和所述第二攻击记录的攻击交叉时间，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击；s250，获得所述攻击交叉时间占据第一攻击时长的第一占比，其中，所述第一攻击时长为所述第一攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；s260，获得所述攻击交叉时间占据第二攻击时长的第二占比，其中，所述第二攻击时长为所述第二攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；以及，s270，响应于第一占比与第二占比之间的较大者不小于预设阈值，确定所述第一攻击记录和所述第二攻击记录属于同一次攻击。

在步骤s140中，响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录。如前所述，在本申请该实施例中，所述攻击记录(包括所述第一攻击记录和所述第二攻击记录)至少包括如下字段属性：攻击记录编号，攻击起始时间，攻击结束时间，攻击类型，攻击流量和报文数等。

相应地，在整合所述第一攻击记录和所述第二攻击记录为同一攻击记录的过程中，至少可执行如下操作至少之一。第一，将所述第一攻击记录和所述第二攻击记录中的攻击流量进行相加，以获得该同一次攻击的总流量；第二，将所述第一攻击记录和所述第二攻击记录中的报文数进行相加，以获得该同一次攻击的总报文数；第三，基于所述第一攻击记录和所述第二攻击记录中的攻击起始时间和攻击结束时间，获得该同一次攻击的总持续时间。

当然，在具体实施例中，可基于实际需求可对所述第一攻击记录和所述第二攻击记录进行其他方式的整合，例如，将第一攻击记录和所述第二攻击记录的编号进行统一，对此，并不为本申请所局限。

综上，以本申请所提供的攻击数据整合方法用于分布式防御系统的攻击数据的整合的过程被阐明。通过上述攻击数据整合方法，解决了分布式防御系统只能查看单台防御设备的攻击记录的缺陷，并且，可直接了解其高防ip受攻击的全局情况，以便于做更准确的判断，以及，调整最优的防御策略。同时，对外展示的攻击报表与真实的攻击数据相吻合，向用户推送的预警更加精准，避免了原有的误会。

应领会的是，虽然上文中以所述分布式ddos防御系统包括两台防御设备为示例，但是，本领域的技术人员应可以理解，本申请所揭露的所述攻击数据整合方法还可应用于包含更多的防御设备的分布式ddos防御系统的攻击数据整合中。对此，本申请不作任何限制。

图3图示了本申请较佳实施例的用于分布式ddos防御系统的攻击数据整合方法的一具体应用的示意图。如图3所述，在该具体应用中，所述分布式防御系统包括3台防御设备，其中，在接收到攻击流量之后，各防御设备处于“响应于被攻击”的状态，并分别产生相应的攻击日志(syslog)。在接收到相应的攻击日志之后，对该攻击日志进行处理，其过程包括：寻找攻击时间上有交叉的攻击日志，根据交叉程度判断是否可被汇总成一条攻击记录，执行汇总操作，以及，将等待超时的记录移出缓存。这样，便能够将所述分布式防御系统内的3台防御设备所产生的攻击数据进行整合汇总，以实现技术目的。

示意性攻击数据整合装置

图4图示了根据本申请较佳实施例的用于分布式ddos防御系统的攻击数据整合装置的框图。

如图4所示，根据本申请该较佳实施例的用于分布式ddos防御系统的攻击数据整合装置400包括：攻击记录获取单元410，用于，获取所述防御系统内第一防御设备所产生的第一攻击记录，以及，获取所述防御系统内第二防御设备所产生的第二攻击记录，其中，所述第一防御设备和所述第二防御设备同时处于响应于被攻击的状态；确定单元420，用于，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击；以及，整合单元430，用于，响应于所述第一攻击记录和所述第二攻击记录属于同一次攻击，整合所述第一攻击记录和所述第二攻击记录。

在一个示例中，在上述整合装置400中，所述确定单元420，还用于：设定攻击记录中被攻击ip地址和攻击类型为关键字；确定所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型数据是否一致；响应于所述第一攻击记录和所述第二攻击记录中被攻击ip地址和攻击类型一致，确定所述第一攻击记录和所述第二攻击记录中的攻击时间是否存在交叉；以及，响应于所述第一攻击记录和所述第二攻击记录中的攻击时间存在交叉，基于所述第一攻击记录和所述第二攻击记录的攻击交叉时间，确定所述第一攻击记录和所述第二攻击记录是否属于同一次攻击。

在一个示例中，在上述整合装置400中，所述确定单元420，还用于：确定所述第一攻击记录中攻击起始时间是否小于所述第二攻击记录中的攻击结束时间；确定所述第一攻击记录中的攻击结束时间是否大于所述第二攻击记录的攻击起始时间，以及，响应于所述第一攻击记录中攻击起始时间小于所述第二攻击记录中的攻击结束时间，以及，所述第一攻击记录中的攻击结束时间大于所述第二攻击记录的攻击起始时间，确定所述第一攻击记录的攻击时间和所述第二攻击记录中的攻击时间存在交叉。

在一个示例中，在上述标定装置400中，所述确定单元420，还用于：获得所述攻击交叉时间占据第一攻击时长的第一占比，其中，所述第一攻击时长为所述第一攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；获得所述攻击交叉时间占据第二攻击时长的第二占比，其中，所述第二攻击时长为所述第二攻击记录中所述攻击结束时间与所述攻击起始时间之间的差值；以及，响应于第一占比与第二占比之间的较大者不小于预设阈值，确定所述第一攻击记录和所述第二攻击记录属于同一次攻击。

在一个示例中，在上述整合装置400中，所述整合单元430，用于：执行如下操作至少之一：将所述第一攻击记录和所述第二攻击记录中的攻击流量进行相加，以获得该同一次攻击的总流量；将所述第一攻击记录和所述第二攻击记录中的报文数进行相加，以获得该同一次攻击的总报文数；以及，基于所述第一攻击记录和所述第二攻击记录中的攻击起始时间和攻击结束时间，获得该同一次攻击的总持续时间。

在一个示例中，在上述整合装置400中，所述获取单元410，用于：获得所述第一防御设备在持续响应于被攻击状态时所产生的一系列第一攻击数据系统日志；以及，整合所述第一攻击数据系统日志，以获得所述第一攻击记录。

在一个示例中，在上述整合装置400中，所述获取单元410，还用于：在所述第一防御设备持续响应于被攻击状态下，获得所述第二防御设备在持续响应于被攻击状态时所产生的一系列第二攻击数据系统日志；以及，整合所述第二攻击数据系统日志，以获得所述第二攻击记录。

这里，本领域技术人员可以理解，上述攻击数据整合装置400中的各个单元和模块的具体功能和操作已经在上面参考图1到图3描述的用于分布式ddos防御系统的攻击数据整合方法中详细介绍，并因此，将省略其重复描述。

如上所述，根据本申请实施例的攻击数据整合装置可以实现在各种终端设备中，例如分布式ddos防御系统的服务器。在一个示例中，根据本申请实施例的攻击数据整合装置可以作为一个软件模块和/或硬件模块而集成到所述终端设备中。例如，该攻击数据整合装置可以是该终端设备的操作系统中的一个软件模块，或者可以是针对于该终端设备所开发的一个应用程序；当然，该攻击数据整合装置同样可以是该终端设备的众多硬件模块之一。

替换地，在另一示例中，该攻击数据整合装置与该终端设备也可以是分立的终端设备，并且该攻击数据整合装置可以通过有线和/或无线网络连接到该终端设备，并且按照约定的数据格式来传输交互信息。

示意性电子设备

下面，参考图5来描述根据本申请实施例的电子设备。

图5图示了根据本申请实施例的电子设备的框图。

如图5所示，电子设备10包括一个或多个处理器11和存储器12。

处理器11可以是中央处理单元(cpu)或者具有数据处理能力和/或指令执行能力的其他形式的处理单元，并且可以控制电子设备10中的其他组件以执行期望的功能。

存储器12可以包括一个或多个计算机程序产品，所述计算机程序产品可以包括各种形式的计算机可读存储介质，例如易失性存储器和/或非易失性存储器。所述易失性存储器例如可以包括随机存取存储器(ram)和/或高速缓冲存储器(cache)等。所述非易失性存储器例如可以包括只读存储器(rom)、硬盘、闪存等。在所述计算机可读存储介质上可以存储一个或多个计算机程序指令，处理器11可以运行所述程序指令，以实现上文所述的本申请的各个实施例的用于分布式ddos防御系统的攻击数据整合方法以及/或者其他期望的功能。在所述计算机可读存储介质中还可以存储诸如攻击记录，攻击日志等各种内容。

在一个示例中，电子设备10还可以包括：输入装置13和输出装置14，这些组件通过总线系统和/或其他形式的连接机构(未示出)互连。

例如，该输入装置13可以是例如键盘、鼠标等等。

该输出装置14可以向外部输出各种信息，包括汇总的攻击记录结果等。该输出设备14可以包括例如显示器、扬声器、打印机、以及通信网络及其所连接的远程输出设备等等。

当然，为了简化，图5中仅示出了该电子设备10中与本申请有关的组件中的一些，省略了诸如总线、输入/输出接口等等的组件。除此之外，根据具体应用情况，电子设备10还可以包括任何其他适当的组件。

示意性计算机程序产品

除了上述方法和设备以外，本申请的实施例还可以是计算机程序产品，其包括计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的用于分布式ddos防御系统的攻击数据整合方法中的步骤。

所述计算机程序产品可以以一种或多种程序设计语言的任意组合来编写用于执行本申请实施例操作的程序代码，所述程序设计语言包括面向对象的程序设计语言，诸如java、c++等，还包括常规的过程式程序设计语言。程序代码可以完全地在用户计算设备上执行、部分地在用户设备上执行、作为一个独立的软件包执行、部分在用户计算设备上部分在远程计算设备上执行、或者完全在远程计算设备或服务器上执行。

此外，本申请的实施例还可以是计算机可读存储介质，其上存储有计算机程序指令，所述计算机程序指令在被处理器运行时使得所述处理器执行本说明书上述“示例性方法”部分中描述的根据本申请各种实施例的用于分布式ddos防御系统的攻击数据整合方法中的步骤。

所述计算机可读存储介质可以采用一个或多个可读介质的任意组合。可读介质可以是可读信号介质或者可读存储介质。可读存储介质例如可以包括但不限于电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。可读存储介质的更具体的例子(非穷举的列表)包括：具有一个或多个导线的电连接、便携式盘、硬盘、随机存取存储器(ram)、只读存储器(rom)、可擦式可编程只读存储器(eprom或闪存)、光纤、便携式紧凑盘只读存储器(cd-rom)、光存储器件、磁存储器件、或者上述的任意合适的组合。

以上结合具体实施例描述了本申请的基本原理，但是，需要指出的是，在本申请中提及的优点、优势、效果等仅是示例而非限制，不能认为这些优点、优势、效果等是本申请的各个实施例必须具备的。另外，上述公开的具体细节仅是为了示例的作用和便于理解的作用，而非限制，上述细节并不限制本申请为必须采用上述具体的细节来实现。

本申请中涉及的器件、装置、设备、系统的方框图仅作为例示性的例子并且不意图要求或暗示必须按照方框图示出的方式进行连接、布置、配置。如本领域技术人员将认识到的，可以按任意方式连接、布置、配置这些器件、装置、设备、系统。诸如“包括”、“包含”、“具有”等等的词语是开放性词汇，指“包括但不限于”，且可与其互换使用。这里所使用的词汇“或”和“和”指词汇“和/或”，且可与其互换使用，除非上下文明确指示不是如此。这里所使用的词汇“诸如”指词组“诸如但不限于”，且可与其互换使用。

还需要指出的是，在本申请的装置、设备和方法中，各部件或各步骤是可以分解和/或重新组合的。这些分解和/或重新组合应视为本申请的等效方案。

提供所公开的方面的以上描述以使本领域的任何技术人员能够做出或者使用本申请。对这些方面的各种修改对于本领域技术人员而言是非常显而易见的，并且在此定义的一般原理可以应用于其他方面而不脱离本申请的范围。因此，本申请不意图被限制到在此示出的方面，而是按照与在此公开的原理和新颖的特征一致的最宽范围。

为了例示和描述的目的已经给出了以上描述。此外，此描述不意图将本申请的实施例限制到在此公开的形式。尽管以上已经讨论了多个示例方面和实施例，但是本领域技术人员将认识到其某些变型、修改、改变、添加和子组合。

本领域的技术人员应理解，上述描述及附图中所示的本申请的实施例只作为举例而并不限制本申请。本申请的目的已经完整并有效地实现。本申请的功能及结构原理已在实施例中展示和说明，在没有背离所述原理下，本申请的实施方式可以有任何变形或修改。